[보안] 사내 그룹웨어 서비스에서 발견한 Broken Access Control 사례 (OWASP TOP 10)

배경회사에서 사용하는 그룹웨어 서비스를 쓰다가 보안 이슈로 보이는 상황을 발견했습니다. 개발자도구의 네트워크 탭을 연 상태로 그룹웨어를 사용 중 응답 데이터 안에 다른 직원의 ID가 포함되어 있음을 발견했는데, 그 값을 요청 파라미터에서 바꾸어 특정 API를 호출하면 전혀 관계없는 다른 직원의 근태 정보까지 조회되는 것을 확인하게 된 것입니다. 조금 더 디테일하게 파고들어보고 싶었지만 혹시나 하여 더 이상의 테스트는 진행하지 않고 바로 중단했습니다.OWASP TOP 10, Broken Access Control, IDOR국제 웹 보안 표준기구인 Open Web Application Security Project(OWASP)에서는 몇 년에 한 번씩 주요 웹앱 취약점 중 가장 빈번한 10가지(OWASP TO..